정의
세션 ID가 예측 가능한 패턴으로 생성되어 공격자가 다른 사용자의 세션을 탈취할 수 있는 취약점입니다.
예시
sessionid=1001, 1002 형식으로 증가하면 예측 가능
위험성
세션 탈취, 권한 도용
방어법
난수 기반 세션 ID 사용, HTTPS 적용, 세션 재생성 적용
세션 ID가 예측 가능한 패턴으로 생성되어 공격자가 다른 사용자의 세션을 탈취할 수 있는 취약점입니다.
sessionid=1001, 1002 형식으로 증가하면 예측 가능
세션 탈취, 권한 도용
난수 기반 세션 ID 사용, HTTPS 적용, 세션 재생성 적용